用 镜像劫持 技术 对付一些小病毒

最新推荐文章于 2024-10-17 14:17:43 发布
最新推荐文章于 2024-10-17 14:17:43 发布
阅读量177 收藏
点赞数 1
文章标签: 操作系统

转自:http://tieba.baidu.com/f?ct=335675392&tn=baiduPostBrowser&sc=3089509323&z=306699323&pn=0&rn=50&lm=0&word=%B2%A1%B6%BE#3089509323

针对杀毒软件,有的病毒采用了一种技术叫镜像劫持。通过这种技术可以很容易的将杀毒软件置于死地。
方法很简单:你可以打开注册表(开始-》运行-》输入regedit回车)。依次展开HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFileExecutionOptions,在这里新建一个以杀毒软件主程序命名的项(例如avp.exe),然后在这个项下(注册表编辑器的右边)建一个字符串类型的键debugger设置它的值为病毒的程序名。以后每次启动AVP.exe都会执行在debugger键下的恶意程序。avp自己不在启动。。。avp就这样挂掉了。。

利用这种方法,我们可以用来终止某些恶意的程序的启动。
你可以在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFileExecutionOptions建立一个恶意程序的项然后新建一个字符串键值debugger让它的数据等于1.bat。这样以后每次启动恶意程序,都会运行1.bat。

1.bat可以这样来做。新建一个文本文档,不要输入任何东西,另存为1.bat就行。。注意它的后缀。。

1.bat存放在c:/windows/system32下

-------------------------------------------------------------------

@echooff
title简易病毒免疫工具

color1f

if/inotexist%windir%/Warning.batgotoWarning

:start
cls
echo输入你想要免疫的病毒文件名(例如:virus.exe):
set/pfn=
regadd"HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/ImageFileExecutionOptions/%fn%"/vdebugger/treg_sz/d%windir%/Warning.bat/f>nul2>nul
cls
echo免疫成功!按任意键返回!
pause>nul
gotostart

:Warning
echo@echooff>%windir%/Warning.bat
echotitle警告!>>%windir%/Warning.bat
echocolor4f>>%windir%/Warning.bat
echoecho>>%windir%/Warning.bat
echocls>>%windir%/Warning.bat
echoecho刚才有一个非法程序试图运行,请立即检查计算机!>>%windir%/Warning.bat
echopause>>%windir%/Warning.bat
gotostart

iteye_17082
关注
镜像劫持
sudo 专栏
02-27 3359
操作系统本身就自带映像劫持的功能,病毒通过修改注册表来实现对杀毒软件的劫持,当你运行杀软的时候,它就会自动把目标指向病毒的路径,结果,运行的是病毒,而不是杀毒软件。  一、镜像劫持概述  系统在试图执行一个从命令行调用可执行文件,运行请求时,会先检查运行程序是不是可执行文件,如果是的话,继续检查格式,最后才会检查文件是否存在。如果不存在的话,它会提示系统
VC++编程实现镜像劫持
尹成的技术博客
10-24 5069
所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。然后再创建一个子键“Debugger="C:\WINDOWS\system32\drivers\”。以后只要用户双击 Rav
关于病毒的映像劫持
脚跟着地的专栏
10-15 1103
当前的木马、病毒似乎比较钟情于“映像劫持”,通过其达到欺骗系统和杀毒软件,进而绝杀安全软件接管系统。小水最近就遇到这种类型的木马病毒,下面把自己有关映像劫持的学习心得写下来与大家交流。screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor=hand; this.alt=Click
劫持无处不在,如何应对镜像劫持?三大手段应对重定向
02-18 1101
互联网飞速发展,随着网络购物、点外卖等不断深入我们的生活,点击各种链接已经成为了日常,通过链接进行重定向导致用户进入病毒链接页面,导致钱财损失,这种行为都是劫持的表现。现如今,科技发展极其发达,各种劫持无处不在。 手机电脑离不开我们的日常生活,手机电脑的安全与我们的银行卡以及隐私信息等均有密切关系,对于其系统问题,我们不容忽视。关于系统卡顿运行缓慢问题不仅是因为电脑垃圾多需要清理,还有可能是因为...
基于windows下的映像劫持实现“勒索病毒
热门推荐
单核CPU的小朋友的博客
09-09 5万+
基于windows下的映像劫持实现“勒索病毒” . 什么是映像劫持? 关于映像劫持,我曾经在博客中给大家讲过,在此就不再阐述了。 附上文章传送门:https://blog.csdn.net/qq_27180763/article/details/82556058 什么是勒索病毒? 勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极...
镜像劫持及处理办法
weixin_34146410的博客
03-23 1093
周一去客户那里处理一台服务器说是被人攻破中了***,查看服务器上只安装了一个微点的杀毒软件(以前没有听说过),用惯了360下载并安装,安装过程中提示一个文本文件(一个文本文件语言不通顺,怀疑是人为的,根据文件名jingao.txt找到了执行文件jingao.exe将其删掉),双击快捷方式系统提示文件360safe未找到,我当时感到很奇妙,路径和文件名都没有问题...
sethc.exe新的镜像劫持技术和安全防御!(shift后门).docx
10-30
《sethc.exe的新镜像劫持技术与安全防御解析》 在Windows操作系统中,sethc.exe是一个用于辅助访问工具,它允许用户在没有鼠标的情况下通过键盘操作计算机。然而,这个实用程序有时会被恶意攻击者利用,成为入侵...
针对病毒镜像劫持的修复工具
03-15
在IT安全领域,"镜像劫持"是一种恶意软件攻击技术,主要针对杀毒软件,目的是使这些防护软件失效,从而使病毒、木马等恶意程序得以在系统中自由活动。这种攻击方式通常涉及到系统底层的驱动级编程,使得病毒能够控制...
autorun.inf病毒与杀毒软件无法启动,及映像劫持(Image File Execution Options)解决办法
Ananias的学习日记
06-07 5374
   本人很少中这么难缠的病毒,真是第一次,autorun.inf病毒早已风靡互联网,记得以前这种病毒并不怎么样,只要把它找出来删掉,并注册表信息业删掉就行了,现在可就没这么爽喽!中毒症状:1.每个盘的盘符下有autorun.inf 和相应的病毒文件,通常通过移动存储来转播,双击或右键打开均会中毒,2.杀毒软件,系统维护的工具,均无法打开,无论是卡巴也好,咖啡也好,瑞星也好,Sreng
简易的整人病毒(c语言实现)
cookie_plus的博客
10-06 6200
暑假了解过了windows编程的相关知识,也知道了注册表相关的操作。那时候就想自己写一个整人的程序。结果一直从暑假鸽到现在才写完。不知道大家小时候,有没有遇到过一个弹出”你是不是猪”窗口的整人程序,我的这个程序其实就是在那个程序基础上扩展了一些东西,一个升级版。程序伪装成java的编译器程序eclipse.exe来执行 首先,我们弹出的窗口不能被任务管理器关掉。我们在弹出窗口之前,应该先禁用任务管理器。 HKEY hkey; DWORD dwDisable=1; RegCreateKey(HKEY_CURR
映像劫持病毒有什么现象及清除步骤
wenbingyeyu的专栏
11-24 1847
现象一媒体朋友的笔记本染毒,杀毒软件起不来。开机就弹出若干个窗口,总也关不掉,直到系统内存耗尽死机,安全模式也是同样的现象。无奈之下,尝试重装系统,不过,因为不少人都知道的原因,她只是格式化了C分区,系统重装后,访问其它分区后,再次出现重装前的中毒症状。从上述现象至少得到2个信息:1、病毒会通过自动播放传播;2、病毒可能利用映像劫持。故障现象检查故障机,重启时,很自然的想到启动到带
(经典)详解WINDOWS映像劫持技术
yxyhack's blog
09-21 4892
一. 诡异的中毒现象在成品检验科文员办公室的一台电脑上折腾半个小时后,计算机维护部门的技术员只觉得眼皮不停狂跳,因为从刚开始接手这个任务开始,他就一直在做无用功:他随身带的U盘里引以为豪的众多维护工具包在这台机器上全军覆没,无论他直接在U盘上运行还是随便复制到哪个目录里,系统都是报告“找不到文件”或者直接没有运行起来的反应,他第一次感受到了恐惧,文件分明就好好的在眼皮底下,可它们就是“找不到”或死
[病毒木马] Windows 映像劫持
LYSM
03-19 1023
介绍 映像劫持(Image File Execution Options),简单的解释就是,当你执行某一程序A的时候,运行的却是另外一个程序B。 实现 通过修改注册表实现。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options ...
如何快速发现网站恶意镜像与网页劫持
wangpeng198688的专栏
01-18 5776
总结 什么样的互联网产品算是好产品? 能帮网站提高用户体验的!!! 能帮工作人员加快效率的!!! 能帮网站省钱并且保证流量的!!!
【Linux】解读信号的本质&相关函数及指令的介绍
YYDsis的博客
10-14 751
一.信号的本质与相关概念1.体现中断的例子:.系统定义的信号列表1.用kill -l命令可以察看系统定义的信号列表2.(ps&kill&raise&abort)进程指令&信号相关函数【总结】【1】ps指令【2】kill&raise函数介绍与演示【3】abort函数介绍与演示三.产生信号的四种方式1.通过终端按键产生信号(Core Dump)2.调用系统函数向进程发信号3.由软件条件产生信号4.硬件异常产生信号
服务器虚拟化:优化资源利用的现代技术
最新发布
进击的码农
10-17 393
服务器虚拟化是一种技术,通过在物理服务器上运行虚拟环境,允许多台虚拟机(VM)运行在同一硬件资源上。每一个虚拟机都模拟一个完整的计算系统,包括CPU、内存、网络接口等,从而可以独立运行操作系统和应用程序。服务器虚拟化已成为现代计算环境的重要组成部分。它不仅优化了资源利用,还降低了成本,提高了系统灵活性和可靠性。随着技术的不断进步,虚拟化的发展潜力无限,正引领着我们走向更加高效的计算未来。如果你的企业还没有采用虚拟化技术,现在正是时候考虑开始部署这一技术,利用其带来的众多优势。
在linux环境下修改可运行jar包配置并重新打包
唐国强的博客
10-16 329
以上两步联合操作,则可以修改springboot打成的可运行jar包中的lib下依赖包里的配置。4)保存文件内容,并退出vim 退出方法与vi命令退出方法一样。重新生成的 XXX.jar 为修改过配置的可运行jar包。-M 不生成清单文件MANIFEST.MF。-m 指定MANIFEST.MF文件。-i 为指定的jar文件创建索引文件。-0 生成jar包时不压缩内容。-C 可在相应的目录下执行命令。-t 显示jar中的内容列表。-u 添加文件到jar包中。-f 指定jar包的文件名。
IFEO 文件镜像劫持技术
04-04
IFEO(Image File Execution Options)文件镜像劫持技术是一种Windows系统下的应用程序调试和监控机制。IFEO中的“Image File Execution Options”指的是Windows注册表中的一个键值,它可以让我们在应用程序运行前...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值